Scheinbar gibt es seit Samstag, den 10.02.2024 verstärkt erfolglose Zugriffsversuche auf den Webclient von 3CX-Telefonanlagen.
Seit 23:21 Uhr verzeichnen wir verstärkt Anmeldeversuche mit ungültigen Benutzernamen und Kennwort (vermutlich via Brute-Force), offenbar sind nur Kunden der Deutschen Telekom betroffen, da wir dies bei anderen Providern bislang nicht sehen. Der bisherige Höhepunkt ist der Vormittag des Sonntag, der 11.02.2024.
Soweit möglich sollte man mindestens den Zugriff auf den Webclient vom Internet aus komplett unterbinden oder, falls dies nicht möglich ist und sofern möglich, mittels GeoIP auf gewünschte/benötigte Zugriffe beschränken bzw. nur per VPN zur Verfügung stellen. Die Bordmittel von 3CX unter “Sicherheit – Angriffsschutz” sollten ebenfalls genutzt werden.
Bislang bekannte IP-Adresse:
- 45.59.118.106
- 45.147.229.215
- 167.88.164.202
- 45.59.120.50
- 172.86.97.7
- 172.86.124.18
- 144.172.76.27
- 45.147.231.173
Update 11.02.2024 – 21:24
Zwischenzeitlich war es ruhiger, aber mittlerweile geht es wieder los. Offenbar ist es nicht auf die Deutsche Telekom beschränkt wie man dem Kommentar (s.u.) entnehmen kann. Ferner wurde eine weitere IP-Adresse ergänzt.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.